在很多网站都有动态密码验证来增加安全性,例如银行的U盾,网易的将军令等都是基于动态密码来进行身份验证。动态密码有基于次数和基于时间来刷新的协议,现在基于谷歌的身份验证器来做一个基于时间的动态密码验证系统,默认30秒刷新一次
实现原理:
1、服务端首先要约定一个base32的密钥,并且把这个密钥与某个账户关联。
2、在页面显示一个二维码,内容是一个URI地址(otpauth://totp/账号?secret=密钥)。
3、通过手机端的谷歌身份验证器软件扫描这个二维码,使密钥保存在手机客户端
实现过程:
import base64
import hashlib
import hmac
import time
import datetime
import random as _random
def byte_secret(secret):
missing_padding = len(secret) % 8
if missing_padding != 0:
secret += '=' * (8 - missing_padding)
return base64.b32decode(secret, casefold=True)
def int_to_bytestring(i, padding=8):
result = bytearray()
while i != 0:
result.append(i & 0xFF)
i >>= 8
return bytes(bytearray(reversed(result)).rjust(padding, b'\0'))
#根据约定的密钥计算当前动态密码
def generate_otp(secret):
for_time = datetime.datetime.now()
i = time.mktime(for_time.timetuple())
input = int(i / 30)
digest = hashlib.sha1
digits = 6
if input < 0:
raise ValueError('input must be positive integer')
hasher = hmac.new(byte_secret(secret),int_to_bytestring(input),digest)
hmac_hash = bytearray(hasher.digest())
offset = hmac_hash[-1] & 0xf
code = ((hmac_hash[offset] & 0x7f) << 24 |
(hmac_hash[offset + 1] & 0xff) << 16 |
(hmac_hash[offset + 2] & 0xff) << 8 |
(hmac_hash[offset + 3] & 0xff))
str_code = str(code % 10 ** digits)
while len(str_code) < digits:
str_code = '0' + str_code
return str_code
#随机生成一个base32密钥
def random_base32(length=16, random=_random.SystemRandom(),
chars=list('ABCDEFGHIJKLMNOPQRSTUVWXYZ234567')):
return ''.join(
random.choice(chars)
for _ in range(length)
)
如何使用:
客户端使用:
首先使用random_base32函数生成一个随机密钥,然后把这个密钥带入到(otpauth://totp/账号?secret=密钥)这个URI中,账号可以随便填写,然后使用二维码生成器生成二维码,使用谷歌身份验证器软件扫描。
服务端使用:
把上面生成的密钥传入generate_otp函数,可计算出当前动态密码。